全3527文字

北陸先端科学技術大学院大学(JAIST)で学生・教職員の個人情報1725件が流出した。原因は、職員が無料セキュリティーツールを不用意に使用していたこと。パソコンで扱うファイルが自動的に外部サイトにアップロードされ、公開された。ツールは自動アップロードと第三者公開を利用規約に明記していたが、見過ごした。同サイトでは企業の機密ファイルなども公開されている。社員への注意喚起が必要だ。

 北陸先端科学技術大学院大学(JAIST)は2021年1月29日、個人情報1725件が外部に流出したと発表した。流出したのは学生・教職員の氏名とメールアドレス、所属部局・研究室だ。

 今回の情報流出事件が特異なのは、サイバー攻撃や内部犯行などが原因でなかった点だ。JAISTは、マルウエアではない正常なセキュリティーツールを業務用端末にインストールしていた。職員が誤って個人情報を扱う業務でその端末を使ってしまった結果、個人情報が流出した。

 JAISTによれば、事故は2020年11月20日に発生した。ある職員が「ダウンロードしたファイルを外部のウイルスチェックサービスサイトに自動アップロードし、安全確認を行う機能」(JAISTの公式発表)が導入された端末を誤って使用。本来この端末で扱うべきではない個人情報を含む資料ファイルを誤って学内のシステムからダウンロードしたところ、当該の機能が作動し、ファイルが自動的に外部サイトにアップロードされてしまった。

 JAISTは公式発表ではサービスの具体名を明示していないが、日経コンピュータの取材に対し、米グーグルが運営するセキュリティーサービス「VirusTotal(ウイルストータル)」とそのWebブラウザー用プラグイン「VT4Browsers」であることを明らかにした。

図 「VT4Browsers」の設定画面
図 「VT4Browsers」の設定画面
ダウンロードしたファイルを自動アップロード
[画像のクリックで拡大表示]

グーグル系のサイトで公開状態に

 JAISTから流出した個人情報を含むファイルは、VirusTotalの会員制サイトで第三者が閲覧できる状態になっていた。JAISTはしばらく事態に気付かなかったが、VirusTotalのサイトを見た学外の人から「JAISTに関係するファイルが閲覧可能になっている」という指摘があった。

 この指摘を受けてJAISTが調査を始めたところ、2021年1月15日に事態を把握した。直ちにVirusTotal側に削除要請を出し、翌1月16日に削除されたことを確認した。結果として、前年11月から約3カ月間にわたって、JAISTの個人情報がVirusTotal上に掲載され、第三者が閲覧・ダウンロード可能な状態になっていたことになる。

 JAISTは学生・教職員に対して職員の不手際をわびるとともに、個人情報が悪用される危険性があることを踏まえた注意喚起をした。再発防止策として、改めて教職員の情報管理意識の向上を図ると共に、名簿の扱いのような特定用途で使う端末の管理を強化するとしている。

 JAISTは所轄官庁である文部科学省に情報流出事故を報告し、助言を仰いだ。文科省によれば「3月中旬までに同様の報告はこの1件のみで、それ以外の事案は把握していない」(同省のセキュリティー担当部署)という。

 これを受けて文科省は所管する大学や研究機関などに注意を呼びかけた。2021年1月下旬から2月上旬にかけて、一橋大学や慶応義塾大学、関西学院大学、日本医科大学など多数の国公立・私立大学が相次いで、学生・教職員向けに「VT4Browsers」に関する注意喚起を出した。一部の大学は「文科省の関係機関」で発生したプラグインによる機密情報の流出事故の報告と、このプラグインの利用方法に関する注意喚起を同省から受けたことも明らかにしている。